本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 AWS Organizations 服务控制策略限制访问 本主题提供了一些示例,说明如何使用中的服务控制策略 (SCPs) AWS Organizations 来限制组织中账户中的用户和角色可以执行的操作。有关服务控制策略的更多信息,请参阅*《AWS Organizations 用户指南》*中的以下主题: + [正在创建 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html) + [附加 SCPs 到 OUs和账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) + [的策略 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html) + [SCP 策略语法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html) **Example 示例 1:阻止账户修改其备用联系人** 以下示例拒绝任何成员账户在[独立账户模式](manage-acct-api-modes-of-operation.md)下调用 `PutAlternateContact` 和 `DeleteAlternateContact` API 操作。这可以防止受影响账户中的任何主体更改其备用联系人。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "arn:aws:account::*:account" ] } ] } ``` **Example 示例 2:阻止任何成员账户修改组织中其他任何成员账户的备用联系人** 以下示例以“\*”概括 `Resource` 元素,这意味着该元素同时适用于[独立模式请求和组织模式请求](manage-acct-api-modes-of-operation.md)。这意味着,即使是账户管理的委托管理员账户(如果 SCP 适用于此账户),也无法更改组织中任何账户的任何备用联系人。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "*" ] } ] } ``` **Example 示例 3:阻止 OU 中的成员账户修改其备用联系人** 以下示例 SCP 包含一个条件,用于将账户的组织路径与两个 OUs组织路径进行比较。这会导致禁止指定 OUs 账户中任何账户的委托人修改自己的备用联系人。